Jak wskazuje Prezes Urzędu Ochrony Danych Osobowych, jeden z banków nie zapewnił warunków, w których inspektor danych osobowych nie mógł działać w pełni niezależnie. W związku z tym PUODO nałożył karę w wysokości 261 918 zł. Dodatkowo, za zaniechanie uwzględnienia profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych, na bank nałożono karę w wysokości 314 302 zł.

Bank nie może przetwarzać danych osobowych na zapas, tj. na wypadek ewentualnych przyszłych roszczeń ze strony byłego klienta. W ten sposób bank narusza podstawowe zasady minimalizacji i ograniczenia celu przetwarzania. Stanowisko to potwierdził Naczelny Sąd Administracyjny w sprawie dotyczącej Banku Millennium.

Błędy organizacyjne przy przebudowie strony WWW mogą prowadzić do wycieku danych osobowych. Rolą administratora jest uwzględnienie tego ryzyka i wdrożenie odpowiednich środków bezpieczeństwa danych osobowych. W ocenie Prezesa UODO obowiązku tego nie wypełniła spółka Panek, stąd kara pieniężna w wysokości ponad 1,5 mln zł. Ukarany został także procesor świadczący na rzecz spółki usługi IT.

Nieprawidłowości w zakresie analizy ryzyka RODO i środków bezpieczeństwa danych nie zwalniają z odpowiedzialności za naruszenie ochrony danych, nawet jeśli jego współprzyczyną był błąd pracownika. Na stanowisku takim stanął Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę Szkoły Głównej Handlowej w Warszawie na decyzję w sprawie kary w wysokości 35 tys. zł.

Zakaz wyświetlania fałszywych reklam (deepfake) na Facebooku i Instagramie podtrzymany przez Wojewódzki Sąd Administracyjny w Warszawie. Zażalenie Meta – właściciela portali społecznościowych - zostało oddalone. Poniżej przybliżamy kulisy rozstrzygnięcia sądu.

Omyłkowe udostępnienie dokumentacji medycznej nieuprawnionej osobie może rodzić ryzyko naruszenia praw lub wolności pacjenta. Niezgłoszenie takiego naruszenia ochrony danych z dużym prawdopodobieństwem skończy się karą pieniężną, o czym zresztą przekonał się jeden ze szpitali.

Firma kurierska Posti z Finlandii zapłaci 2,4 mln euro za praktyki niezgodne z RODO w związku z usługą elektronicznej skrzynki pocztowej. Spółka przetwarzała dane osobowe w ramach usługi elektronicznej bez podstawy prawnej i nie wykonując w pełni obowiązku informacyjnego. Naruszyła także regułę privacy by default.

Braki w analizie ryzyka były przyczyną nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kary na Chorągiew Społeczną Związku Harcerstwa Polskiego. W analizie tej nie uwzględniono ryzyka związanego ze zgubieniem laptopa z danymi osobowymi i nie wdrożono środków bezpieczeństwa danych.

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną w wysokości 25 tys. zł na Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie za brak wyznaczenia inspektora ochrony danych. Konsekwencją tego uchybienia był oczywiście brak zgłoszenia wyznaczenia IOD do organu nadzorczego.

Utrudnianie wycofania zgody na przetwarzanie danych osobowych może prowadzić do naruszenia ochrony danych osobowych według RODO i administracyjnej kary pieniężnej. Przekonała się o tym jedna ze spółek, w sprawie której Naczelny Sąd Administracyjny podtrzymał właśnie decyzję Prezesa UODO nakładającą karę w wysokości ponad 200 tys. zł.

Wyciek danych osobowych w wyniku ataku ransomware rodzi wysokie ryzyko naruszenia praw i wolności osób fizycznych. Aby zminimalizować ryzyko takiego wycieku, należy wdrożyć odpowiednie środki bezpieczeństwa danych osobowych, ustalone w oparciu o przeprowadzoną analizę ryzyka RODO. Brak takich środków w przypadku cyberataku zwykle prowadzi do nałożenia na administratora wysokiej kary pieniężnej.

Transmisja na żywo nagrania z monitoringu wizyjnego pracowników narusza RODO, nawet jeśli wydaje się być atrakcyjnym elementem modelu biznesowego firmy działającej w branży gastronomicznej. Dobitnie przekonała się o tym słoweńska spółka Fovella d.o.o, będąca właścicielem franczyzy Dodo Pizza. Spółka musi zapłacić karę w wysokości 25 tys. euro.

Prezes Urzędu Ochrony Danych Osobowych nałożył kary w wysokości 15 tys. zł i 20 tys. zł na dwie samorządowe jednostki organizacyjne: miejski ośrodek pomocy społecznej oraz miejski ośrodek sportu i rekreacji. Przyczyną ukarania był przede wszystkim brak wdrożonych odpowiednich środków technicznych i organizacyjnych, co doprowadziło do naruszenia ochrony danych osobowych polegającego na zgubieniu nośnika z danymi osobowymi. Ukarana została także firma zapewniająca system kadrowo-płacowy dla jednostek.

Prezes Urzędu Ochrony Danych Osobowych nałożył kary w wysokości 15 tys. zł i 20 tys. zł na dwie samorządowe jednostki organizacyjne: miejski ośrodek pomocy społecznej oraz miejski ośrodek sportu i rekreacji. Przyczyną ukarania był przede wszystkim brak wdrożonych odpowiednich środków technicznych i organizacyjnych, co doprowadziło do naruszenia ochrony danych osobowych polegającego na zgubieniu nośnika z danymi osobowymi. Ukarana została także firma zapewniająca system kadrowo-płacowy dla jednostek.

Pseudonimizacja danych osobowych nie powoduje nich usunięcia. Przechowywanie i udostępnianie danych poddanych pseudonimizacji stanowi ich przetwarzanie i musi być oparte na podstawach wynikających z RODO. Za błędne utożsamienie pseudonimizacji z anonimizacją francuski organ nadzorczy nałożył na spółkę działającą w branży medycznej karę w wysokości 800 tys. euro.